Проверка подлинности между службами с помощью Azure Data Lake Storage 1-го поколения с использованием Microsoft Entra ID

• Проверка подлинности конечных пользователей
• Аутентификация между службами

Azure Data Lake Storage 1-го поколения использует Microsoft Entra ID для проверки подлинности. Перед созданием приложения, которое работает с Data Lake Storage 1-го поколения, необходимо решить, как проверить подлинность приложения с помощью Microsoft Entra ID. Доступно два основных варианта:

• Проверка подлинности конечных пользователей
• Аутентификация между службами (в этой статье)

Оба варианта позволят приложению получить маркер OAuth 2.0, который используется в каждом запросе к Data Lake Storage 1-го поколения.

В этой статье описывается создание веб-приложения Microsoft Entra для проверки подлинности между службами. Инструкции по Microsoft Entra конфигурации приложения для проверки подлинности конечных пользователей см. в статье Проверка подлинности конечных пользователей с помощью Data Lake Storage 1-го поколения с помощью Microsoft Entra ID.

Предварительные требования

• Подписка Azure. См. страницу бесплатной пробной версии Azure.

Шаг 1. Создание веб-приложения Active Directory

Создание и настройка веб-приложения Microsoft Entra для проверки подлинности между службами с помощью Azure Data Lake Storage 1-го поколения с помощью Microsoft Entra ID. Инструкции см. в разделе Создание приложения Microsoft Entra.

При выполнении инструкций по ссылке выше обязательно выберите тип приложения Веб-приложение или API, как показано на следующем снимке экрана:

Шаг 2. Получение идентификатора приложения, ключа проверки подлинности и идентификатора клиента

При программном входе необходимо указывать идентификатор приложения. Если приложение работает с использованием собственных учетных данных, потребуется также ключ проверки подлинности.

• Инструкции о том, как получить идентификатор приложения и ключ проверки подлинности (который также называется секретом клиента) для приложения, см. в разделе Получение идентификатора приложения и ключа проверки подлинности.

• Инструкции о том, как получить код клиента, см. в разделе Получение идентификатора клиента.

Шаг 3. Назначение приложения Microsoft Entra файлу или папке учетной записи Azure Data Lake Storage 1-го поколения

1. Выполните вход на портал Azure. Откройте учетную запись Data Lake Storage 1-го поколения, которую вы хотите связать с приложением Microsoft Entra, созданным ранее.

2. В колонке учетной записи Data Lake Storage 1-го поколения щелкните Azure Data Explorer.

   

3. В колонке Data Explorer выберите файл или папку, для которых требуется предоставить доступ к Microsoft Entra приложению, и нажмите кнопку Доступ. Чтобы настроить доступ к файлу, необходимо нажать кнопку Доступ в колонке Предварительный просмотр файла.

   

4. В колонке Доступ перечислены стандартные и пользовательские варианты доступа, уже назначенные корню. Щелкните значок Добавить , чтобы добавить ACL пользовательского уровня.

   

5. Щелкните значок Добавить, чтобы открыть колонку Добавить настраиваемый доступ. В этой колонке щелкните Выбрать пользователя или группу, а затем в колонке Выбор пользователя или группы найдите созданное ранее приложение Microsoft Entra. Если у вас много групп для поиска, воспользуйтесь текстовым полем в верхней части для фильтрации по имени группы. Выберите группу, которую необходимо добавить, и нажмите кнопку Выбрать.

   

6. Щелкните Выберите разрешения, выберите необходимые разрешения, а затем укажите, назначить ли разрешения как список ACL по умолчанию, список ACL для доступа или оба этих параметра. Нажмите кнопку ОК.

   

   Дополнительные сведения о разрешениях в Data Lake Storage 1-го поколения и списках ACL (по умолчанию и для доступа) см. в статье Контроль доступа в Data Lake Storage 1-го поколения.

7. В колонке Добавить настраиваемый доступ нажмите кнопку ОК. Теперь добавленные группы с соответствующими разрешениями отобразятся в колонке Доступ.

   

Примечание

Если вы планируете ограничить Microsoft Entra приложение определенной папкой, необходимо также предоставить тому же приложению разрешение на выполнение Microsoft Entra корневому каталогу, чтобы разрешить доступ к созданию файлов с помощью пакета SDK для .NET.

Примечание

Если вы хотите использовать пакеты SDK для создания учетной записи Data Lake Storage 1-го поколения, необходимо назначить Microsoft Entra веб-приложение в качестве роли группе ресурсов, в которой создается учетная запись Data Lake Storage 1-го поколения.

Шаг 4. Получение конечной точки маркера OAuth 2.0 (только для приложений на основе Java)

1. Войдите на портал Azure и щелкните "Active Directory" в области слева.

2. В левой области щелкните Регистрация приложений.

3. В верхней части колонки "Регистрация приложений" щелкните Конечные точки.

   

4. Из списка конечных точек скопируйте значение конечной точки маркера OAuth 2.0.

   

Дальнейшие действия

В этой статье вы создали веб-приложение Microsoft Entra и собрали необходимые сведения в клиентских приложениях, которые вы создаете с помощью пакета SDK для .NET, Java, Python, REST API и т. д. Теперь вы можете перейти к следующим статьям о том, как использовать Microsoft Entra машинное приложение для проверки подлинности с помощью Data Lake Storage 1-го поколения, а затем выполнить другие операции в хранилище.

• Аутентификация между службами в Data Lake Storage 1-го поколения с помощью Java
• Аутентификация между службами в Data Lake Storage 1-го поколения с помощью пакета SDK для .NET
• Аутентификация между службами в Data Lake Storage 1-го поколения с помощью Python
• Аутентификация между службами в Data Lake Storage 1-го поколения с помощью REST API